si tienes acceso shell, puedes realizar una busqueda.
find /home/usuario/ -name "*".php -type f -print0 | xargs -0 grep base64_decode | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq
claro puedes cambiar el .php por .js .txt etc..
en este caso busca lineas que tengan base64_decode dentro de los archivos php (por si te subieron alguna shell, normalmente lleva esa palabra dentro del codigo ) y si tienes cache pues personaliza mas las rutas /home/usuario/www/wp-admin o /home/usuario/www/wp-include
como te crearon archivos puedes identificarlos si vuelves a subir no se.. el wordpress desde cero. y cuando finalizes de subirla empiezas a explorar las carpetas.. la que tenga otra fecha de modificacion es probable que sea sospechoso
